Trust & Sicherheit

Ihre Daten bleiben in der Schweiz. Punkt.

crAIready wird in Thayngen (CH) auf einem eigenen Server der JULITH GmbH betrieben. Jeder Kunde erhält eine eigene, abgeschottete Umgebung. KI läuft im Default lokal. Kein Cloudflare, kein US-CDN.

Hosting

Webseite und Plattform laufen auf einem eigenen Server der JULITH GmbH in Thayngen (Schweiz). Ein angemessenes Schutzniveau ist nach dem Angemessenheitsbeschluss der EU-Kommission gewährleistet (Schweiz). Es findet kein Hosting bei US-Cloud-Anbietern und kein Einsatz eines US-CDN statt. Browser-seitig werden keine Assets von externen Domains nachgeladen — Schriften (DM Sans, Instrument Serif), CSS und JavaScript liegen lokal beim eigenen Server.

Single-Tenant — eigene Instanz je Kunde

Jeder Kunde bekommt eine eigene, logisch und betrieblich getrennte Instanz mit automatischer Provisionierung. Es findet keine Vermischung von Kundendaten statt. Test- und Produktivumgebungen sind getrennt.

KI im Standard lokal

Die KI-Funktionen sind standardmässig aktiviert und laufen im Default als selbst gehostetes Modell (Ollama) innerhalb der Betriebsumgebung — im SaaS-Modell auf den Servern von codAIx, im On-Premise-Modell beim Kunden. Cloud-KI (Anthropic, OpenAI) ist optional und wird nur auf ausdrückliche Kundenwahl genutzt. Sie können KI auch vollständig abschalten.

Wir trainieren keine Modelle mit Ihren Daten. Was Sie hochladen, bleibt zur Verarbeitung gegen Ihre Compliance-Aufgaben — und wird bei Vertragsende exportiert oder gelöscht.

Datenflüsse

Die Schwachstellen-Anreicherung (NVD, OSV, CISA KEV, EUVD, GitHub, Paket-Registries) läuft serverseitig. Ihr Browser kontaktiert diese Dienste nie direkt; es wird keine Nutzer-IP an sie übermittelt. Übermittelt werden nur technische Komponenten-Kennungen (CVE-Nummern, Paketnamen/-versionen, Repository-Namen) ohne Rückschluss auf Kunde, Produkt oder Person.

Verschlüsselung

  • Transport: TLS für alle Verbindungen.
  • At-Rest: AES-256 für API-Schlüssel und sensitive Inhalte.
  • Passwörter: bcrypt-Hashing, niemals Klartext.

Zugriff & Audit

Rollenbasierte Berechtigungen (RBAC), 2FA für administrative Zugänge, vollständiges Audit-Log — manipulationssicher protokolliert und für die nach Art. 13 Abs. 13 CRA geforderte Aufbewahrungsdauer abrufbar. Sicherheitsvorfälle melden wir an den Kunden in der Regel innerhalb von 48 Stunden nach Bekanntwerden (siehe AVV Anlage 2).

Cookies und Tracker auf craiready.ch

Auf der Marketing-Webseite werden keine Tracker oder Analyse-Tools eingesetzt. Lediglich ein technisch notwendiger Session-Cookie für die Spracheinstellung (Browser-Sitzung). Auf dem Portal verwenden wir Umami — cookielos, self-hosted, ohne IP-Speicherung (siehe Datenschutzerklärung §4.2).

Schwachstellen melden

Sicherheitsforscher und Nutzer können Schwachstellen unter security@codaix.ch melden. Unsere Sicherheitskontaktinformationen sind unter /.well-known/security.txt (RFC 9116) maschinenlesbar verfügbar.

Weitere Unterlagen

Stand: 22.06.2026 · codAIx GmbH, Thayngen (CH).